Keamanan infrastruktur di Amazon VPC - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur di Amazon VPC

Sebagai layanan terkelola, Amazon VPC dilindungi olehAWSprosedur keamanan jaringan global yang dijelaskan dalamAmazon Web Services: Whitepaper Ikhtisar Proses Keamanan.

Anda menggunakan panggilan API yang dipublikasikan AWS untuk mengakses Amazon VPC melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.0 atau versi yang lebih baru. Kami merekomendasikan TLS 1.2 atau versi yang lebih baru. Klien juga harus mendukung suite cipher dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan yang lebih baru mendukung mode ini.

Selain itu, permintaan harus ditandatangani dengan menggunakan ID access key dan secret access key yang terkait dengan IAM utama. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.

Isolasi jaringan

Sebuah virtual private cloud (VPC) adalah jaringan virtual di area Anda yang diisolasi secara logis dalam Cloud AWS. Gunakan VPC yang terpisah untuk mengisolasi infrastruktur berdasarkan beban kerja atau entitas organisasi.

Sebuah subnet adalah serangkaian alamat IP di VPC. Saat Anda meluncurkan sebuah instans, Anda meluncurkannya ke dalam sebuah subnet dalam VPC Anda. Gunakan subnet untuk mengisolasi jenjang aplikasi Anda (misalnya web, aplikasi, dan basis data) dalam satu VPC. Gunakan subnet pribadi untuk instans Anda jika tidak dapat diakses secara langsung dari internet.

Untuk memerintahkan Amazon EC2 API dari VPC Anda tanpa mengirimkan lalu lintas melalui internet publik, gunakan AWS PrivateLink.

Mengendalikan lalu lintas jaringan

Pertimbangkan opsi berikut untuk mengontrol lalu lintas jaringan pada instans EC2 Anda:

  • Batasi Akses ke Subnet Anda menggunakan Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan. Misalnya, Anda dapat mengizinkan lalu lintas hanya dari rentang alamat untuk jaringan perusahaan Anda.

  • Manfaatkan grup keamanan sebagai mekanisme utama untuk mengendalikan akses jaringan ke VPC. Jika perlu, gunakan ACL jaringan secara terbatas untuk menyediakan kontrol jaringan stateless dan secara garis besar. Grup keamanan bersifat lebih serba guna daripada ACL jaringan karena kemampuannya untuk melakukan pemfilteran paket stateful dan menciptakan aturan yang mengacu pada grup keamanan lainnya. Akan tetapi, ACL jaringan akan efektif sebagai pengendali sekunder untuk menolak subset lalu lintas khusus atau menyediakan pagar pengaman subnet tingkat tinggi. Juga, karena ACL jaringan berlaku untuk keseluruhan subnet, jaringan ini dapat digunakan sebagai pertahanan mendalam jika sebuah instans diluncurkan secara tidak sengaja tanpa grup keamanan yang tepat.

  • Gunakan subnet pribadi untuk instans Anda jika tidak dapat diakses secara langsung dari internet. Gunakan host bastion atau gateway NAT untuk akses internet dari sebuah instans dalam sebuah subnet privat.

  • Lakukan konfigurasi pada tabel rute subnet Amazon VPC dengan rute jaringan syarat minimal. Misalnya, tempatkan hanya instans Amazon EC2 yang membutuhkan akses Internet langsung ke dalam subnet dengan rute ke sebuah gateway internet, dan tempatkan hanya instans Amazon EC2 yang memerlukan akses langsung ke jaringan internal ke dalam subnet dengan rute ke sebuah virtual private gateway.

  • Pertimbangkan untuk menggunakan grup keamanan tambahan atau antarmuka jaringan untuk mengontrol dan meng-audit lalu lintas pengelolaan instans Amazon EC2 secara terpisah dari lalu lintas aplikasi reguler. Pendekatan ini memungkinkan pelanggan untuk melaksanakan kebijakan IAM khusus untuk kontrol pengubahan, mempermudahnya untuk meng-audit perubahan pada aturan grup keamanan atau skrip verifikasi aturan otomatis. Sejumlah antarmuka jaringan juga menyediakan opsi tambahan untuk mengontrol lalu lintas jaringan termasuk kemampuan untuk menciptakan kebijakan perutean berbasis host atau memanfaatkan berbagai aturan perutean subnet VPC berdasarkan antarmuka jaringan yang ditetapkan untuk subnet.

  • Gunakan AWS Virtual Private Network atau AWS Direct Connect untuk membuat koneksi privat dari jaringan jarak jauh ke VPC Anda. Untuk informasi selengkapnya, lihat Opsi Konektivitas Network-to-Amazon VPC.

  • Gunakan Log Aliran VPC untuk memonitor lalu lintas yang mencapai instans Anda.

  • Gunakan AWS Security Hub untuk memeriksa aksesibilitas jaringan yang tidak diinginkan pada instans Anda.

Selain membatasi akses jaringan ke setiap instans Amazon EC2, Amazon VPC mendukung kontrol keamanan jaringan tambahan pelaksana. Untuk informasi selengkapnya, lihat Melindungi Jaringan.